網(wǎng)絡安全業(yè)界關于“Dev(Sec)Ops當立,WAF已死”的斷言已經(jīng)流行了一段時間,WAF(Web應用程序防火墻)真的要退出歷史舞臺了嗎?Dev(Sec)Ops是WAF的掘墓人嗎?答案是否定的。盡管有些人可能認為DevOps具有手段、動機和機會,但事實是WAF不但未完全消失,而且會繼續(xù)存在很長時間。
WAF還有什么價值?
DevOps以及持續(xù)集成和持續(xù)部署(CI/CD)管道為實施安全策略提供了極好的機會,尤其是開發(fā)團隊在敏捷方法增加了安全性Sprint的情況下。Dev(Sec)Ops從一開始就將安全功能內置到應用程序中,而不是像傳統(tǒng)開發(fā)方法那樣亡羊補牢。后者不僅效率低下,而且在緊鑼密鼓的CI/CD流程往往被忽略或遺忘。
盡管DevSecOps從一開始就內置所有Web應用程序的安全性,但是經(jīng)驗表明,它通常僅適用于“皇冠上的寶石”,例如公司的主要客戶門戶或客戶支付系統(tǒng)。在企業(yè)環(huán)境中,對于公司來說,運行不再維護代碼的舊應用程序或通過收購集成應用程序的場景并不少見。
此外,研發(fā)和市場營銷等部門經(jīng)常實施自定義或第三方應用程序。這種應用程序的激增可能導致組織中超過50%的面向公眾的Web應用程序由DevOps或其他不同的IT小組進行管理。這些應用將需要其他威脅緩解控制,而WAF正是其中一種。
DevOps安全性的局限性
當Web應用程序成為企業(yè)的關鍵應用時,WAF已成為企業(yè)安全的基石。設計用于保護很大程度上是靜態(tài)網(wǎng)絡環(huán)境的單個網(wǎng)絡防火墻已不再足夠。WAF針對特定應用程序,提供不同的安全防護。但是WAF的過濾、監(jiān)控和策略執(zhí)行(例如阻止惡意流量)雖然提供了有價值的保護,但會帶來成本影響并消耗計算資源。此外,在DevOps的云環(huán)境中,匹配不斷更新和更改的流程對于WAF來說也是一項挑戰(zhàn)。
將安全性引入CI/CD管道可以解決該問題,但僅適用于以此種方式開發(fā)的應用程序。無法在舊的第三方應用程序或由不同部門部署的應用程序中實施安全功能的Sprint。這些應用程序的存在給企業(yè)帶來了風險,但它們仍然需要得到保護,而WAF仍然可能是最佳選擇。
同樣重要的是,沒有什么方法可以完美解決所有網(wǎng)絡安全問題,僅靠敏捷的DevOps方法是不夠的。即使在不包含過時應用或第三方應用程序的環(huán)境中,您也永遠無法確定其他團隊在做什么——影子IT對企業(yè)來說是一個持續(xù)存在的頑疾。除了安全Sprint、代碼審查等措施外,您還需要至少每年執(zhí)行一次滲透測試。
滲透測試可模擬系統(tǒng)、網(wǎng)絡和Web應用程序上的網(wǎng)絡攻擊,發(fā)現(xiàn)黑客可能會利用的漏洞。滲透測試為企業(yè)提供了絕佳的機會,使安全狀況與預期保持同步。
WAF來日方長
毫無疑問,對于應用安全來說,主動將安全性內置到Web應用程序中的DevOps敏捷方法應被視為最佳實踐。它能確保安全性與CI/CD管道中的創(chuàng)新速度保持同步,幫助建立安全性和運營團隊之間的協(xié)作文化,并使網(wǎng)絡安全性與業(yè)務需求保持一致。但是在企業(yè)級別,由于存在較舊的不受支持的應用程序,第三方添加的內容以及其他部門可能在開發(fā)團隊權限范圍之外進行的獨立活動,因此DevSecOps并不能覆蓋全部的應用安全。
總之,關于WAF即將消亡的報道是危言聳聽。只要依然有遺留應用程序存在于DevOps環(huán)境之外,或者DevOps團隊沒有從頭開始完全實現(xiàn)安全性(這仍然相當普遍),那么就有必要采取其他保護應用程序和緩解攻擊的方法。至少在可預見的未來,WAF都會是企業(yè)安全武器庫中的必備品。